Ingegneria Informatica e Intelligenza artificiale L-8
Sistemi Operativi e Cybersecurity
| Settore scientifico disciplinare | Numero crediti formativi (CFU) | Docente |
| ING-INF/05 (IINF-05/A) | 9 | Antonino Longo Minnolo |
Obiettivi Formativi
L'insegnamento si propone di fornire agli studenti le nozioni fondamentali della sicurezza informatica (cybersecurity), analizzando il panorama delle minacce cibernetiche, i modelli di attacco e difesa e le principali metodologie e tecnologie impiegate per la protezione dei sistemi e delle infrastrutture digitali.
Vengono trattati il panorama e l'impatto delle minacce cibernetiche sulla società e sulle infrastrutture critiche, il crimine informatico e i suoi modelli di servizio, l'information warfare e i casi reali di cyber war. Si affrontano quindi la Cyber Threat Intelligence, le tecnologie di rilevamento e risposta (IPS, SIEM, SOC, CSIRT), il processo di Incident Response secondo il NIST, i framework MITRE ATT&CK e D3FEND, oltre ai fondamenti di offensive security ed ethical hacking, con particolare attenzione all'aspetto metodologico e difensivo.
Al termine del corso lo studente avrà acquisito:
- Comprensione del panorama delle minacce cibernetiche: capacità di analizzare le tipologie di attacco, gli attori e l'impatto sulla società e sulle infrastrutture critiche.
- Conoscenza dei processi e degli strumenti di difesa: padronanza dei concetti di Cyber Threat Intelligence, threat detection (IPS, SIEM), SOC, CSIRT e Incident Response.
- Comprensione delle metodologie di offensive security: conoscenza delle fasi di un attacco e dei framework di riferimento (MITRE ATT&CK, D3FEND) in un'ottica di difesa consapevole ed etica.
Risultati di apprendimento attesi
Conoscenza e capacità di comprensione
Lo studente dovrà aver acquisito conoscenza e capacità di comprensione:
- del panorama delle minacce cibernetiche, del crimine informatico e dei relativi modelli di servizio (Malware-as-a-Service, Ransomware-as-a-Service), nonché dell'information warfare e dei principali casi reali di cyber war.
- dei processi e delle tecnologie di rilevamento e risposta agli incidenti, inclusi Cyber Threat Intelligence, IPS, SIEM, SOC, CSIRT e il processo di Incident Response del NIST.
- delle metodologie e delle fasi dell'offensive security e dell'ethical hacking, dei framework MITRE ATT&CK e D3FEND e delle principali tecniche di attacco e di difesa.
Capacità di applicare conoscenza e comprensione
Lo studente dovrà sviluppare la capacità di applicare le conoscenze acquisite, con particolare riferimento:
- all'analisi di scenari di minaccia e alla classificazione degli attori e delle tecniche di attacco (TTP), utilizzando i modelli e i framework di riferimento (Cyber Kill Chain, MITRE ATT&CK).
- all'individuazione delle contromisure e delle strategie di difesa più appropriate mediante strumenti di threat detection, intelligence e risposta agli incidenti.
- all'interpretazione delle fasi di un attacco (reconnaissance, scanning, enumeration, exploitation, maintaining access) per la valutazione delle vulnerabilità e la protezione dei sistemi.
Abilità di giudizio
Lo studente dovrà aver sviluppato capacità di giudizio critico nell'analisi e nell'applicazione dei concetti affrontati. In particolare, dovrà essere in grado di:
- valutare il livello di rischio associato a un dato scenario di minaccia e la correttezza delle contromisure adottate, proponendo alternative più appropriate.
- interpretare criticamente le informazioni di intelligence e i risultati delle attività di detection, verificandone la coerenza e l'affidabilità delle fonti.
- scegliere le metodologie e gli strumenti di difesa più idonei in funzione delle caratteristiche del contesto e degli obiettivi di sicurezza, nel rispetto dei principi etici e giuridici.
Abilità di comunicare
Lo studente svilupperà, anche attraverso l'interazione con i docenti, la capacità di:
- esprimere in modo chiaro e rigoroso concetti e procedure relativi alla sicurezza informatica e alla gestione degli incidenti, utilizzando la terminologia tecnica appropriata.
- redigere documentazione tecnica e report su analisi di minacce, incidenti e attività di intelligence, presentando dati e risultati in forma comprensibile e strutturata.
- comunicare efficacemente con interlocutori tecnici e non tecnici, spiegando i principi fondamentali e le implicazioni pratiche della cybersecurity.
- utilizzare strumenti informatici e framework di riferimento per rappresentare scenari di attacco e difesa, facilitando la comprensione dei fenomeni studiati.
Capacità di apprendimento
Lo studente dovrà aver acquisito le basi necessarie per:
- saper individuare autonomamente fonti di approfondimento (libri, articoli, feed di intelligence, risorse digitali) per consolidare e ampliare le conoscenze di cybersecurity.
- essere in grado di aggiornare le proprie competenze in relazione alla continua evoluzione delle minacce, delle tecnologie e delle normative in materia di sicurezza.
- applicare metodi di studio e di problem solving per affrontare nuovi problemi legati all'analisi delle minacce e alla difesa dei sistemi.
- collegare le conoscenze acquisite con altre discipline informatiche, favorendo un apprendimento interdisciplinare e continuo.
Testi consigliati
Altro
Modalità di accertamento dei risultati di apprendimento acquisiti dallo studente
L'acquisizione dei risultati di apprendimento previsti viene accertata attraverso la verifica del completamento delle attività di autovalutazione presenti alla fine di ogni sezione dell'insegnamento e attraverso la prova di esame. I test di autovalutazione permettono allo studente di monitorare la propria comprensione degli argomenti somministrati e, nel caso ci siano delle difficoltà, di attivarsi per colmare le lacune o chiedere ulteriori spiegazioni al docente tramite incontri di didattica interattiva. Tutti i contenuti trattati nell'ambito dell'insegnamento costituiscono oggetto di valutazione. La valutazione delle competenze acquisite dallo studente avverrà in forma scritta nelle date d'appello previste dall'Ateneo e pubblicate in piattaforma. La valutazione prevede l'identificazione del raggiungimento degli obiettivi previsti ed in particolare, per ogni argomento, saranno valutati:
- Il grado di acquisizione della conoscenza degli argomenti trattati (50% del punteggio).
- La capacità di sintesi e correlazione tra i vari argomenti, oltre a una corretta terminologia (25% del punteggio).
- La comprensione e la capacità di interpretazione degli scenari di minaccia e delle soluzioni di difesa (25% del punteggio).
Modalità di esame
Propedeuticità
Prerequisiti
Organizzazione didattica
Modalità di erogazione del corso
Sono comprese videolezioni e attività di didattica interattiva.
I contenuti delle videolezioni sono parte integrante del programma d'esame, ma per numerosi argomenti sono necessari ulteriori approfondimenti ed è raccomandata la consultazione dei libri di testo indicati dai docenti.
Attività didattiche previste
Le attività di didattica, suddivise tra didattica erogativa (DE) e didattica interattiva (DI), saranno costituite da 7 ore per CFU e ripartite secondo una struttura di almeno 2,5 ore di DE (5 ore, tenuta in considerazione la necessità di riascolto) e di 2 ore di DI per ciascun CFU.
Attività didattica erogativa (45 ore)
- 45 lezioni frontali, videoregistrate, della durata di circa 30 minuti ciascuna, sempre disponibili in piattaforma didattica (ogni videolezione corrisponde a 1 ora di didattica erogativa considerando la necessità di riascolto).
Attività didattica interattiva (18 ore)
- Le 18 ore in forma di esercitazioni interattive in aula virtuale, svolte in modalità sincrona, organizzate in date e orari concordati e su tematiche specifiche del programma per gli studenti che preparano l'esame.
- Forum di approfondimento tematici: ha lo scopo di approfondire gli argomenti del corso che risultano di difficile comprensione per gli studenti o che interessano maggiormente. Si tratta di uno strumento che dà a ciascun studente la possibilità di aggiungere un argomento di discussione che verrà successivamente approfondito insieme al docente.
Attività di autoapprendimento
- Test di autovalutazione con domande a scelta multipla, alla fine di ogni lezione.
- Materiale di studio ed esempi inerenti ai contenuti del corso sono disponibili in piattaforma per l'approfondimento degli argomenti trattati da parte degli studenti.
L'articolazione tra DE e DI, per ciascun modulo, sarà organizzata coerentemente con gli obiettivi formativi specifici dell'insegnamento.
Ricevimento studenti
Programma del Corso
Conoscenza e capacità di comprensione
Lo studente dovrà aver acquisito conoscenza e capacità di comprensione:
- del panorama delle minacce cibernetiche, del crimine informatico e dei relativi modelli di servizio (Malware-as-a-Service, Ransomware-as-a-Service), nonché dell'information warfare e dei principali casi reali di cyber war.
- dei processi e delle tecnologie di rilevamento e risposta agli incidenti, inclusi Cyber Threat Intelligence, IPS, SIEM, SOC, CSIRT e il processo di Incident Response del NIST.
- delle metodologie e delle fasi dell'offensive security e dell'ethical hacking, dei framework MITRE ATT&CK e D3FEND e delle principali tecniche di attacco e di difesa.
Capacità di applicare conoscenza e comprensione
Lo studente dovrà sviluppare la capacità di applicare le conoscenze acquisite, con particolare riferimento:
- all'analisi di scenari di minaccia e alla classificazione degli attori e delle tecniche di attacco (TTP), utilizzando i modelli e i framework di riferimento (Cyber Kill Chain, MITRE ATT&CK).
- all'individuazione delle contromisure e delle strategie di difesa più appropriate mediante strumenti di threat detection, intelligence e risposta agli incidenti.
- all'interpretazione delle fasi di un attacco (reconnaissance, scanning, enumeration, exploitation, maintaining access) per la valutazione delle vulnerabilità e la protezione dei sistemi.
Abilità di giudizio
Lo studente dovrà aver sviluppato capacità di giudizio critico nell'analisi e nell'applicazione dei concetti affrontati. In particolare, dovrà essere in grado di:
- valutare il livello di rischio associato a un dato scenario di minaccia e la correttezza delle contromisure adottate, proponendo alternative più appropriate.
- interpretare criticamente le informazioni di intelligence e i risultati delle attività di detection, verificandone la coerenza e l'affidabilità delle fonti.
- scegliere le metodologie e gli strumenti di difesa più idonei in funzione delle caratteristiche del contesto e degli obiettivi di sicurezza, nel rispetto dei principi etici e giuridici.
Abilità di comunicare
Lo studente svilupperà, anche attraverso l'interazione con i docenti, la capacità di:
- esprimere in modo chiaro e rigoroso concetti e procedure relativi alla sicurezza informatica e alla gestione degli incidenti, utilizzando la terminologia tecnica appropriata.
- redigere documentazione tecnica e report su analisi di minacce, incidenti e attività di intelligence, presentando dati e risultati in forma comprensibile e strutturata.
- comunicare efficacemente con interlocutori tecnici e non tecnici, spiegando i principi fondamentali e le implicazioni pratiche della cybersecurity.
- utilizzare strumenti informatici e framework di riferimento per rappresentare scenari di attacco e difesa, facilitando la comprensione dei fenomeni studiati.
Capacità di apprendimento
Lo studente dovrà aver acquisito le basi necessarie per:
- saper individuare autonomamente fonti di approfondimento (libri, articoli, feed di intelligence, risorse digitali) per consolidare e ampliare le conoscenze di cybersecurity.
- essere in grado di aggiornare le proprie competenze in relazione alla continua evoluzione delle minacce, delle tecnologie e delle normative in materia di sicurezza.
- applicare metodi di studio e di problem solving per affrontare nuovi problemi legati all'analisi delle minacce e alla difesa dei sistemi.
- collegare le conoscenze acquisite con altre discipline informatiche, favorendo un apprendimento interdisciplinare e continuo.
Lezioni
Panorama delle minacce cibernetiche
Impatto delle minacce cibernetiche sulla societ
Panorama delle minacce cibernetiche - Le infrastrutture critiche
Attacchi alle supply chain
Il crimine informatico
Principali modelli alla base del cybercrime
Information Warfare - concetti chiave
Information Warfare - Casi reali di cyber war
Malware-as-a-Service
Tipologie di Web
Approfondimento sulla Sicurezza nelle reti P2P
Deep e Dark Web
Modelli di servizi basati sul cybercrime
Cyber Threat Intelligence
Intelligence
Cyber threat intelligence e threat detection
CTI Maturity Model
OSINT
IPS
Cyber threat intelligence e threat detection
SOC
CSIRT
Introduzione alla Incident Response
Il processo di Incident Response del NIST
Forensic Tools
Playbooks
I Framework del MITRE
La difesa Attiva
Threat Actors
Basi di Offensive Security e Ethical Hacking
Tecniche di Hacking - Information Gathering
Tecniche di Hacking - Scanning/Enumeration
Tecniche di Hacking - System Hacking
Tecniche di Hacking - Maintaining Access
Tecniche di Hacking - House Keeping
Tecniche di Hacking - Tecniche e Strumenti di Enumerazione
Tecniche di Hacking - Vulnerability Management
Tecniche di Hacking - Web application hacking
Tecniche di Hacking - Network Attack
Tecniche di Hacking - Post-Exploitation e Maintaining Access
Tecniche di Hacking - Maintaining Access
Reconnaissance e Footprinting
Scanning
Enumeration
Strategie di Difesa nel Cyber-Reconnaissance e Footprinting